首页 程序猿 码农开发 浏览内容

ImageMagick漏洞(CVE-2016-3714)修复方案

3041 0 BaiDu已收录

关于这个漏洞影响ImageMagick 6.9.3-9以前是所有版本,包括ubuntu源中安装的ImageMagick。而官方在6.9.3-9版本中对漏洞进行了不完全的修复。所以,我们不能仅通过更新ImageMagick的版本来杜绝这个漏洞。

现在,我们可以通过如下两个方法来暂时规避漏洞:

处理图片前,先检查图片的 "magic bytes",也就是图片头,如果图片头不是你想要的格式,那么就不调用ImageMagick处理图片。如果你是php用户,可以使用getimagesize函数来检查图片格式,而如果你是wordpress等web应用的使用者,可以暂时卸载ImageMagick,使用php自带的gd库来处理图片。 使用policy file来防御这个漏洞,这个文件默认位置在 /etc/ImageMagick/policy.xml ,我们通过配置如下的xml来禁止解析https等敏感操作:
修复方案一:

修复方案一:
从官网下载最新版本更新或覆盖。

修复方案三:

相关连接:http://www.moyoo.net/13034.html

标签:
墨月的头像
  • 本文由墨月网络整理编辑,转载请以链接形式注明本文地址:https://www.moyoo.net/13039.html
    版权所有© 墨月网络 | 本文采用 BY-NC-SA 进行授权丨发布于:2016-05-06 17:00
    若未注明,均为原创;部分内容源于网络,版权归原作者所有,如有侵权,请联系我们删除。

关注我们,实时联系

欢迎

欢迎

欢迎

欢迎

欢迎